Un malware préinstallé, des appareils connectés compromis, et des dizaines de milliers de foyers potentiellement concernés. Derrière BadBox, c’est toute une faille dans l’industrie des objets connectés qui se dévoile.
Les objets connectés s’installent partout : enceintes, thermostats, cadres photo numériques. Symbole de modernité, ils débarquent dans nos foyers avec la promesse de nous simplifier la vie. Mais certains viennent aussi avec un invité surprise. En Allemagne, l'Office fédéral pour la sécurité des technologies de l'information (BSI) a découvert que plus de 30 000 appareils étaient infectés par un malware préinstallé en usine : BadBox. Un nom presque anodin pour un problème beaucoup plus sérieux. Car derrière ce cas d’école, c’est tout un problème structurel qui se dessine : des contrôles quasi inexistants chez les fabricants et des internautes livrés à eux-mêmes face à des produits défaillants.
Quand la menace s’invite en sortie d’usine
Lorsqu’on pense cyberattaque, on a tôt fait d’accuser un internaute indolent ou un éditeur logiciel négligeant. Mais le cas de BadBox prouve que le processus peut être bien plus insidieux. Ici, la menace est déjà présente, intégrée directement dans les appareils connectés, bien avant qu’ils ne quittent les rayons des magasins.
La faute revient aux fabricants qui, pour minimiser les coûts de productions et maximiser les marges, n’ont aucun scrupule à installer des versions obsolètes d’Android sur les produits qu’ils commercialisent. Or, qui dit fin de vie, dit abondances de failles de sécurité que les pirates n’hésitent jamais à exploiter. Surtout si ces objets mal conçus sont vendus en masse pour être installés chez des particuliers qui ne penseront jamais à vérifier la techno sous le capot tant que tout fonctionne parfaitement.
Et c’est exactement ce qui s’est produit avec BadBox. Préinstallé en sortie d’usine sur des cadres photos connectés et des lecteurs multimédias, le malware s’est tranquillement invité dans des dizaines de milliers de foyers allemands. Il aura ensuite suffi que les acheteurs et acheteuses allument pour la première fois leur objet connecté pour activer le logiciel malveillant en arrière-plan.
BadBox : un malware discret, mais diablement efficace
Un malware silencieux, donc, mais pas moins dangereux. Selon le BSI, BadBox pouvait, à l’insu des utilisateurs et utilisatrices, créer des comptes mail ou de messagerie utilisés pour propager des fake news. En parallèle, il accédait à des sites web en arrière-plan, générant du trafic artificiel dans des campagnes de fraude publicitaire.
Plus inquiétant encore, le malware transformait les appareils infectés en proxies résidentiels, permettant aux hackers de mener cyberattaques ou diffuser des contenus illégaux à partir des IP des victimes, laissant les utilisateurs porter seuls le poids d’infractions pénalement condamnables. Enfin, pour ne rien arranger, BadBox servait aussi de porte dérobée, permettant l’installation et la diffusion d’autres malwares sur les appareils compromis.
Si le BSI a réussi à identifier et bloquer une partie du réseau en Allemagne, BadBox n’est probablement que la partie visible de l’iceberg. Ces 30 000 objets infectés ne sont sûrement qu’un aperçu d’un problème structurel beaucoup plus vaste, alimenté par la production massive d’appareils connectés à bas coût. Avec une chaîne d’approvisionnement mondiale difficile à contrôler, il est presque certain que d’autres modèles similaires circulent déjà ailleurs dans le monde. Pire encore, le problème pourrait bien ne pas se limiter aux salons et aux bureaux.
Ces appareils – cadres photo numériques, lecteurs multimédias et autres – sont aussi largement utilisés dans des environnements autrement plus sensibles. Hôpitaux, écoles, infrastructures industrielles : partout où ils se connectent à des réseaux critiques, ils deviennent nécessairement des portes d’entrée idéales pour des attaques de plus grande ampleur.
Fabriquer responsable, consommer averti : les clés pour éviter le pire
Le cas BadBox le prouve : tant que la sécurité restera une variable d’ajustement pour les fabricants, ces objets de notre quotidien continueront de nourrir, à notre insu, des campagnes malveillantes aux impacts parfois colossaux. Alors que faire ?
Pour limiter ces dérives, les fabricants doivent déjà renforcer leurs contrôles qualité. Un impératif qui passe par l’intégration de systèmes d’exploitation modernes, la mise en place de mises à jour automatiques et une vérification rigoureuse des appareils avant leur mise sur le marché. Les revendeurs, de leur côté, devraient privilégier les produits conformes aux normes de sécurité internationales et exiger des certifications solides.
En attendant que l’industrie se responsabilise, mieux vaut s’armer de bons réflexes. Avant l’achat, privilégiez les marques reconnues et renseignez-vous sur leurs pratiques en matière de cybersécurité. Une fois l’appareil en main, contrôlez la version du système d’exploitation et effectuez immédiatement les mises à jour proposées. Si aucune mise à jour n’est disponible, envisagez de l’isoler sur un réseau Wi-Fi invité pour limiter les risques de propagation en cas d’infection.… le mieux restant de retourner l’équipement en magasin.
Source : BSI
01 décembre 2024 à 11h06
